株式会社博展 - 東芝実績動画
ケンブリッジ大学の研究者によると、オランダの支払いカードに新しいセキュリティ機能が実装されても、詐欺師が将来銀行口座から盗むために使用できる攻撃は止められないという。ケンブリッジのコンピュータグループのスティーブン・J.マードックとザール・ディリマーは、オランダのテレビ番組「Goudzoekers」で、新しいセキュリティ機能を搭載した支払いカードが、いわゆるリレー攻撃に対して脆弱であることを実証した。
リレー攻撃は、詐欺師が無線技術を使用して、ヨーロッパ全域で使用されるチップとPINの支払いカードの銀行カードの詳細とPIN(個人識別番号)を取得する方法です。チップ&PINカードでは、POSデバイスまたは現金自動預け払い機で4桁の暗証番号を入力する必要があり、暗証番号はカードに埋め込まれたマイクロチップによって認証されました。
[その他の情報:マルウェアの削除方法あなたのWindows PCから]
リレー攻撃では、被害者のカードの詳細は改ざんされた決済端末を通じて記録されます。 PIN番号は詐欺師によって観察され、その後、他のどこかで同時取引を行う共犯者に伝達される。同犯人は、改ざんされた支払い端末から受信した被害者の銀行の詳細を使って不正な取引を行う、偽の無線対応支払いカードを持っています。2007年にDrimerとMurdochによって中継攻撃が実証されました。英国とオランダの銀行は、さまざまな種類の攻撃を阻止するために、新しいセキュリティ機能で支払いカードをアップグレードする計画を持っているとマードック氏は説明している。 MurdochとDrimerは、3つの新機能を持つ1つのオランダ銀行が発行したカードをテストしました。
1つはダイナミックデータ認証で、銀行のシステムに接続しなくてもカードを本物と確認できます。これは、いわゆる「はい」攻撃を防ぎ、PINがトランザクションに受け入れられるようにします。もう1つの機能は、決済端末とカード間の通信中に顧客のPINが暗号化されて平文PINの傍受を防止することです。
最後の新機能はiCVVです。チップとPINのカードには、カードのマイクロチップ内のアカウントの詳細を含む磁気ストライプ情報のコピーが含まれていました。 Murdoch氏によると、iCVVを使用すると、完全な磁気ストライプ情報はチップ内に保存されなくなるという。しかし、リレー攻撃を止めるために特別に設計されたものはありませんでした。 "Goudzoekers"のプロデューサーは、新しいカードがリレー攻撃に対してまだ脆弱であるかどうかを知りたいと、Murdochは言った。マードック氏によると、チップとPINカードの安全性に関する広範な研究を行ったマードック氏は、彼とディーマー氏は、新しい機能はリレー攻撃を防ぎます。しかし、彼らは、他の国のシステムでより多くの経験を得るために、ショーの委員会を受け入れた、と彼は言った。
オランダ銀行協会は最新の実験を却下し、中継攻撃はほぼ3歳であるMurdoch氏は、中継攻撃は難しいと認めています。しかし、カードのセキュリティ機能が強化されているため、他のより簡単な攻撃の仕組みが閉鎖されているため、犯罪者は「これを調べ始める可能性が高い」と銀行協会は、「犯罪者はあまりにも愚かであり、 "マードック氏は言った。 "犯罪者は怠け者だが、彼らはばかではない"